瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 由services.exe意外终止导致重启的朋友,请进

123456   4  /  6  页   跳转

由services.exe意外终止导致重启的朋友,请进

收藏
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-08-15 19:49 | 短消息 资料
字号: 31楼

已经有几位朋友发出了这个的病毒分析报告,在这里一并谢过。

现在已知最少有两个利用MS05-039漏洞的蠕虫,命名为“狙击波”或者“急速波”(Worm.Zotob),属于前几个月比较流行的通过邮件传播的病毒Mytob的变种,总的来说还是属于bot类病毒,现在漏洞仅仅被批露5天之后就出现了利用该漏洞的病毒,毫不夸张的说,也许今后的bot都将会有针对这个漏洞的代码。因此提醒广大用户一定要小心,及时打上补丁,以免造成更大的损失。

附:目前发现的病毒资料

一、狙击波 Worm.Zotob.a 分析报告
该病毒通过MS05-039漏洞进行传播.病毒会向未感染的机器发生漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,用户可以通过网络防火墙关闭445端口,以阻止攻击.用户一旦感染该病毒,就会通过IRC被病毒传播者控制.该病毒还会禁止用户更新安全软件.

1. 病毒将自身复制到以下目录:
%system%\botzor.exe

2. 在注册表中添加如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
"WINDOWS SYSTEM" = "botzor.exe"
以在每次启动时运行

3. 修改以下服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = 0x00000004
以阻止WinXP自带的防火墙运行

4.通过MS05-039进行攻击
// -=PNP445=- //transfer complete to ip:

5.病毒会创建以下互斥量,以保证系统只一个进程运行
B-O-T-Z-O-R

6.病毒文件中含有以下作者信息
Botzor2005 By DiablO

7.病毒会链接
diabl0.turk*****s.net
网站的IRC频道,以接受病毒传播者的控制.

8. 修改Host文件
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
n127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com


二、狙击波变种B Worm.Zotob.b 分析报告
该病毒为VC编写,Upack加壳的蠕虫病毒.通过ms05-039漏洞传播.它会创建大量的线程向目标机器发送溢出代码,造成系统性能下降,网络堵塞
并修改用户的Hosts文件,导致用户无法正常登录大量的安全网站,这给其它病毒提供了感染用户机器的机会.

1.建立一个名为"B-O-T-Z-O-R"的互斥量,如果该互斥量存在,则表示本主机已经被病毒感染,直接退出.

2.在系统目录下释放文件csm.exe

3.在注册表Software\Microsoft\Windows\CurrentVersion\Run项和
Software\Microsoft\Windows\CurrentVersion\RunServices上添加
csm Win Updates = csm.exe
使病毒能够随计算机启动而自动运行.

4. 修改注册表SYSTEM\CurrentControlSet\Services\SharedAccess start = 4 来禁止Windows自带的防火墙运行

5.修改hosts文件,使用用户无法正常登录一些安全网站
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

5.通过ms05-039漏洞向其它机器发送溢出数据包来传播自身
gototop
 
wy_1116
头像
拙长孩提狮
  • 帖子:110
  • 注册: 2004-11-17
  • 来自:
发表于: 2005-08-15 20:49 | 短消息 资料
字号: 32楼

微软漏洞发布一周即被病毒利用,病毒作者叫嚣杀掉这个病毒的杀毒软件将于24小时内被剿杀!

  2005年8月15日,离微软发布漏洞公告不过一周时间,江民反病毒中心截获一个利用微软"即插即用服务代码执行漏洞"(MS05-039)的蠕虫“极速波”病毒I-Worm/Zotob。
该病毒利用最新漏洞传播,并且可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制。而就在昨天,江民反病毒中心刚刚发布预警,提醒广大电脑用户提访利用微软最新漏洞的病毒出现。

  病毒运行后,将在系统目录下创建botzor.exe文件,大小为22528字节。在注册表中添加下列启动项:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "WINDOWS SYSTEM" = botzor.exe

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

  "WINDOWS SYSTEM" = botzor.exe

  这样,在Windows启动时,病毒就可以自动执行。

  “极速波”病毒通过TCP端口8080连接IRC服务器,接受并执行黑客命令。可导致被感染计算机被黑客完全控制。并在TCP端口33333开启FTP服务,提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞(MS05-039)进行传播。如果漏洞利用代码成功运行,将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行,未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。

  该病毒的危害还在于,病毒会修改%SystemDir%\drivers\etc\hosts文件,屏蔽大量国外反病毒和安全厂商的网址。并对反病毒厂商提出公开挑战:第一个发现的反病毒软件 将在24小时内遭到“剿杀”。(MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!)

  针对该病毒,江民KV2005杀毒软件8月15日升级病毒库后可以查杀。江民公司提醒广大用户,请注意及时升级病毒库,开启实时监控,立刻安装微软的安全补丁,保护您的系统不受此病毒的威胁。
gototop
 
天下奇才
头像
卡卡巡查
  • 帖子:28107
  • 注册: 2001-11-04
  • 来自:卡卡女性协会
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念10温馨圣诞
发表于: 2005-08-15 20:54 | 短消息 资料
字号: 33楼

引用:
【baohe的贴子】“冲击波”、“震荡波”、“级速波”,每来一“波”,都要“死”一批系统!系统的主人们——不知道早干什么去了?
...........................

波波本无能,却因系统薄。圈圈小波波,扫荡无心人
无奈……反病毒反病毒,说到底还是无奈
gototop
 
wy_1116
头像
拙长孩提狮
  • 帖子:110
  • 注册: 2004-11-17
  • 来自:
发表于: 2005-08-15 20:55 | 短消息 资料
字号: 34楼

我现在的瑞星监控中心怎么没有运行了?已经升级了的.
gototop
 
CrossVirus
头像
初生襁褓狮
  • 帖子:1756
  • 注册: 2004-06-29
  • 来自:
发表于: 2005-08-15 21:06 | 短消息 资料
字号: 35楼

引用:
【天下奇才的贴子】
波波本无能,却因系统薄。圈圈小波波,扫荡无心人
无奈……反病毒反病毒,说到底还是无奈
...........................


怪只怪漏洞层出不穷.
gototop
 
wy_1116
头像
拙长孩提狮
  • 帖子:110
  • 注册: 2004-11-17
  • 来自:
发表于: 2005-08-15 21:06 | 短消息 资料
字号: 36楼

版主,日志如何扫,请教。
gototop
 
天下奇才
头像
卡卡巡查
  • 帖子:28107
  • 注册: 2001-11-04
  • 来自:卡卡女性协会
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念10温馨圣诞
发表于: 2005-08-15 21:12 | 短消息 资料
字号: 37楼

引用:
【CrossVirus的贴子】

怪只怪漏洞层出不穷.
...........................

反过来看看。冲击波的时候,我们几乎有一个月的准备时间,但是最后的结果呢?不可否认,大多数人输了。震荡波呢?当时我记得我翻译这个漏洞的资料的时候,到论坛有人发贴求助至少有几天时间。

漏洞可以说客观存在的,现在问题不是这个漏洞会造成什么危险,而是人们应该如何应对这些危险?我希望日后,真的能够有这一天,我们能够从容应对漏洞带来的一切一切……纯粹废话,呵呵,说说而已
gototop
 
virusmaster
头像
社区嘉宾
  • 帖子:1915
  • 注册: 2002-02-16
  • 来自:UFO
发表于: 2005-08-15 21:13 | 短消息 资料
字号: 38楼

Maybe:

mytob source + ms05-039 exploit = zotob
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-08-15 21:19 | 短消息 资料
字号: 39楼

引用:
【virusmaster的贴子】Maybe:

mytob source + ms05-039 exploit = zotob
...........................


呵呵,从目前的情况来看,似乎就是这样
gototop
 
CrossVirus
头像
初生襁褓狮
  • 帖子:1756
  • 注册: 2004-06-29
  • 来自:
发表于: 2005-08-15 21:35 | 短消息 资料
字号: 40楼

引用:
【virusmaster的贴子】Maybe:

mytob source + ms05-039 exploit = zotob
...........................
gototop
 
<<上一主题|下一主题>>
123456   4  /  6  页   跳转
页面顶部
Powered by Discuz!NT